◆孫笑慶

一種新型網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)的設(shè)計(jì)思路——以企業(yè)安全業(yè)務(wù)為核心的網(wǎng)絡(luò)安全運(yùn)營(yíng)指揮系統(tǒng)

◆孫笑慶

（石化盈科信息技術(shù)有限責(zé)任公司 北京 100007）

伴隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，數(shù)字化已經(jīng)從消費(fèi)領(lǐng)域滲透入生產(chǎn)制造領(lǐng)域，網(wǎng)絡(luò)空間與物理世界的相互交融程度愈加充分，網(wǎng)絡(luò)安全與政治安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全、軍事安全等領(lǐng)域相互交織、相互影響，已成為我國(guó)面臨的最復(fù)雜、最現(xiàn)實(shí)、最嚴(yán)峻的非傳統(tǒng)安全問(wèn)題之一。經(jīng)過(guò)多年的信息化建設(shè)，遵循“六統(tǒng)一、三同步”等原則，能源化工企業(yè)大部分構(gòu)建了基于等?；疽蟮目v深防護(hù)體系，網(wǎng)絡(luò)安全得到了較好的保障，但是隨著數(shù)字化轉(zhuǎn)型與工業(yè)生產(chǎn)經(jīng)營(yíng)管理工作深度耦合，網(wǎng)絡(luò)安全威脅從事件型向常態(tài)化趨勢(shì)發(fā)展，網(wǎng)絡(luò)安全管控體系發(fā)展趨勢(shì)也在技術(shù)、管理的基礎(chǔ)上強(qiáng)調(diào)了運(yùn)營(yíng)體系的重要性，經(jīng)過(guò)安全運(yùn)營(yíng)1.0和安全運(yùn)營(yíng)2.0的嘗試，對(duì)于非IT的傳統(tǒng)企業(yè)，本文嘗試提供一種構(gòu)建以技術(shù)平臺(tái)驅(qū)動(dòng)，安全業(yè)務(wù)為核心，向生產(chǎn)安全管理體系特點(diǎn)借鑒的網(wǎng)絡(luò)安全運(yùn)營(yíng)指揮系統(tǒng)的設(shè)計(jì)思路，為類(lèi)似企業(yè)建設(shè)、完善和提升安全運(yùn)營(yíng)能力提供參考。

安全運(yùn)營(yíng)；安全大數(shù)據(jù)；日常視圖；等級(jí)保護(hù)；信息安全風(fēng)險(xiǎn)管理

1 網(wǎng)絡(luò)安全運(yùn)營(yíng)管理面臨的問(wèn)題

能源化工行業(yè)網(wǎng)絡(luò)安全工作信息化起步早，發(fā)展周期長(zhǎng)，產(chǎn)業(yè)涉及勘探、煉化、銷(xiāo)售等完整的上中下游鏈條，數(shù)據(jù)中心遍布全國(guó)和海外，應(yīng)用系統(tǒng)包括經(jīng)營(yíng)、生產(chǎn)、銷(xiāo)售、金融、客戶、工程、科技的方方面面，內(nèi)部人員能力參差不齊，外部供應(yīng)鏈多樣且復(fù)雜，攻擊暴露面多，作為能源行業(yè)，網(wǎng)絡(luò)安全事件影響大，經(jīng)過(guò)多年網(wǎng)絡(luò)安全建設(shè)，在基礎(chǔ)設(shè)施防護(hù)方面建立了較為齊備的縱深防御體系，但是作為國(guó)家關(guān)鍵性基礎(chǔ)設(shè)施，面臨著更加復(fù)雜化、多樣化、隱蔽化發(fā)展的網(wǎng)絡(luò)安全威脅，如何提升常態(tài)化、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全能力，在日常安全運(yùn)營(yíng)工作中，安全團(tuán)隊(duì)需面對(duì)眾多問(wèn)題。

1.1 資產(chǎn)脆弱性分析能力不足

現(xiàn)有安全管理系統(tǒng)對(duì)IT資產(chǎn)脆弱性分析能力不足，主要體現(xiàn)在兩方面，一是資產(chǎn)采集的覆蓋面不足，二是缺乏資產(chǎn)風(fēng)險(xiǎn)的量化評(píng)估。傳統(tǒng)資產(chǎn)采集方式主要是通過(guò)CMDB或者配合漏洞掃描等掃描設(shè)備實(shí)現(xiàn)，資產(chǎn)采集形式、維度較單一，如設(shè)備IP、域名、端口等信息，較難滿足安全分析所需的應(yīng)用內(nèi)部第三方框架版本號(hào)、專用硬件設(shè)備的小版本號(hào)等多維度資產(chǎn)數(shù)據(jù)內(nèi)容；主動(dòng)掃描方式進(jìn)行資產(chǎn)發(fā)現(xiàn)，其覆蓋面受限于網(wǎng)絡(luò)訪問(wèn)的通斷和相關(guān)網(wǎng)絡(luò)配置，掃描頻率也受限于掃描服務(wù)自身性能，往往難以對(duì)資產(chǎn)變動(dòng)進(jìn)行及時(shí)發(fā)現(xiàn)，容易造成安全分析盲點(diǎn)；對(duì)收集上來(lái)的資產(chǎn)數(shù)據(jù)難以通過(guò)其相關(guān)屬性，如：部署位置、軟件版本號(hào)、使用頻率、承載的應(yīng)用系統(tǒng)級(jí)別等，進(jìn)行量化風(fēng)險(xiǎn)評(píng)估；缺乏統(tǒng)一的數(shù)據(jù)模型基礎(chǔ)，往往導(dǎo)致數(shù)據(jù)碎片化嚴(yán)重，對(duì)各類(lèi)資產(chǎn)數(shù)據(jù)難以在統(tǒng)一數(shù)據(jù)建模基礎(chǔ)上進(jìn)行關(guān)聯(lián)，數(shù)據(jù)語(yǔ)言不一致等問(wèn)題，進(jìn)而無(wú)法實(shí)現(xiàn)通過(guò)風(fēng)險(xiǎn)數(shù)值的量化直觀地、有效地反饋出當(dāng)前網(wǎng)絡(luò)資產(chǎn)的風(fēng)險(xiǎn)狀態(tài)，以宏觀的緯度與指標(biāo)化的手段來(lái)呈現(xiàn)當(dāng)前漏洞運(yùn)營(yíng)工作的完成情況。

1.2 精準(zhǔn)告警智能分析能力不足

新的攻擊手段層出不窮，需要檢測(cè)的數(shù)據(jù)越來(lái)越多，現(xiàn)有的安全運(yùn)營(yíng)分析技術(shù)不堪重負(fù)。面對(duì)海量安全數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺(tái)（譬如SIEM，安全管理平臺(tái)等）也遭遇到了諸多瓶頸，包括性能問(wèn)題突出，分析能力有限，缺少主動(dòng)、智能化的分析手段，更沒(méi)有海量安全數(shù)據(jù)挖掘的能力，難以識(shí)別多變、未知的安全問(wèn)題。

1.3 實(shí)時(shí)自動(dòng)化響應(yīng)處置能力不足

數(shù)字化促使安全系統(tǒng)不斷膨脹，安全設(shè)備越買(mǎi)越多，安全系統(tǒng)部署得越來(lái)越多，每天產(chǎn)生大量安全告警，眾多設(shè)備和系統(tǒng)之間缺乏有效的交流和互動(dòng)，安全人員為分析一個(gè)安全事件往往要登錄多個(gè)設(shè)備，在多個(gè)系統(tǒng)間切換以發(fā)現(xiàn)相關(guān)上下文信息，效率低，易丟失信息，更無(wú)法實(shí)現(xiàn)安全自動(dòng)化響應(yīng)處置。

1.4 整體安全運(yùn)營(yíng)能力不足

現(xiàn)有安全管理系統(tǒng)缺乏安全策略和處置預(yù)案。成熟的安全策略是安全運(yùn)營(yíng)的成果和積累，是需要在不斷的安全實(shí)踐中總結(jié)和改進(jìn)的。許多企業(yè)安全團(tuán)隊(duì)忙碌于安全檢查和安全事件救火，往往缺乏對(duì)安全體系的梳理、總結(jié)，從而形成成熟的運(yùn)營(yíng)體系和安全策略，以及應(yīng)對(duì)日常運(yùn)營(yíng)和緊急事件的處置預(yù)案。缺乏安全全局可見(jiàn)性，分散的安全設(shè)備與系統(tǒng)以及越來(lái)越大的安全邊界，安全團(tuán)隊(duì)很難獲取全局安全狀態(tài)，很難了解哪兒有問(wèn)題，哪兒應(yīng)該改進(jìn)。同時(shí)難以展現(xiàn)安全工作的整體成效。

2 網(wǎng)絡(luò)安全運(yùn)營(yíng)管理發(fā)展分析

網(wǎng)絡(luò)安全管理發(fā)展經(jīng)歷了多個(gè)階段，早期的安全防護(hù)是獨(dú)立的單體防護(hù)，安全管理即為所部署的設(shè)備和軟件的系統(tǒng)管理形成了“安全防御孤島”，后來(lái)隨著安全規(guī)模擴(kuò)大，出現(xiàn)了最早的安全管理系統(tǒng)，主要是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中分散的同廠商防火墻/VPN等設(shè)備的集中監(jiān)控與策略下發(fā)，構(gòu)建一個(gè)較為完整的邊界安全統(tǒng)一防護(hù)體系。

隨著對(duì)信息安全認(rèn)識(shí)的不斷深入，安全管理體系化思想逐漸成熟，安全合規(guī)在安全工作中的負(fù)擔(dān)越來(lái)越重，以及“安全防御孤島”無(wú)法解決復(fù)雜安全事件追蹤和還原，以人工監(jiān)控、分析和處置的方式難以應(yīng)對(duì)復(fù)雜的安全態(tài)勢(shì)，因此出現(xiàn)了以信息系統(tǒng)資產(chǎn)為核心的全面安全監(jiān)控、分析、響應(yīng)系統(tǒng)——安全運(yùn)營(yíng)1.0，其以資產(chǎn)為主線，實(shí)現(xiàn)了較為全面的事件管理與處理流程，以及風(fēng)險(xiǎn)管理與運(yùn)維流程，其核心是SIEM的初級(jí)階段和成長(zhǎng)階段，即在合規(guī)政策的驅(qū)動(dòng)下，部署SIEM用于收集和存儲(chǔ)日志，主要是用于審計(jì)，建立多源事件監(jiān)控功能，將身份信息、網(wǎng)絡(luò)信息等上下文加入安全信息中，提升了針對(duì)事件的綜合分析處置能力，

安全運(yùn)營(yíng)1.0著眼于安全事件的閉環(huán)管理，隨著網(wǎng)絡(luò)安全工作范圍的擴(kuò)大和業(yè)務(wù)的深入，要求從客戶業(yè)務(wù)的角度來(lái)進(jìn)行安全管理的呼聲日益增長(zhǎng)，于是出現(xiàn)了面向業(yè)務(wù)的安全運(yùn)營(yíng)2.0。繼承和發(fā)展了傳統(tǒng)的集中管理思想，將安全與業(yè)務(wù)融合，從客戶業(yè)務(wù)價(jià)值的角度去進(jìn)行一體化安全體系的建設(shè)。安全運(yùn)營(yíng)2.0集成了針對(duì)安全風(fēng)險(xiǎn)的發(fā)現(xiàn)、分析、處理，提出了安全問(wèn)題的流程化處理方式，能夠在流程化處理的基礎(chǔ)上，針對(duì)不同的安全業(yè)務(wù)，諸如安全運(yùn)維、安全檢查工作，提供定制化的安全服務(wù)。安全的業(yè)務(wù)過(guò)程已經(jīng)與用戶的IT運(yùn)營(yíng)/語(yǔ)文流程整合到一起了，歸納總結(jié)特點(diǎn)主要包括：將安全資產(chǎn)作為數(shù)據(jù)分析處理的核心；以事件日志的分析處理為主要技術(shù)手段；具有關(guān)聯(lián)分析、告警響應(yīng)、安全統(tǒng)計(jì)的功能；除事件分析以外，一般會(huì)將漏洞、安全配置也作為安全檢查的對(duì)象；安全是一種業(yè)務(wù)，需要通過(guò)運(yùn)營(yíng)不斷提升，安全流程需要嵌入IT流程并實(shí)現(xiàn)融合；針對(duì)安全業(yè)務(wù)，提供定制化的安全服務(wù)。

近些年，為了增強(qiáng)安全的響應(yīng)和處置能力，安全編排和自動(dòng)化處置迅速成為安全運(yùn)營(yíng)的重要能力，因此除了繼續(xù)做大做強(qiáng)威脅管理的主要職責(zé)外，持續(xù)提升高級(jí)威脅檢測(cè)、基礎(chǔ)安全監(jiān)控，調(diào)查與應(yīng)急響應(yīng)，需要在一個(gè)平臺(tái)下實(shí)現(xiàn)安全業(yè)務(wù)全打通，安全運(yùn)營(yíng)在支撐業(yè)務(wù)安全運(yùn)行之外，將更多地承擔(dān)企業(yè)安全大腦和安全總體指揮的重任。

3 安全運(yùn)營(yíng)指揮系統(tǒng)體系設(shè)計(jì)

在能源化工企業(yè)，生產(chǎn)安全是企業(yè)生產(chǎn)管理工作的紅線，網(wǎng)絡(luò)安全借鑒生產(chǎn)安全的管理模式，安全運(yùn)營(yíng)指揮系統(tǒng)即為安全運(yùn)營(yíng)在生產(chǎn)企業(yè)的網(wǎng)絡(luò)安全管理的具體實(shí)現(xiàn)。

3.1 安全運(yùn)營(yíng)指揮系統(tǒng)體系設(shè)計(jì)目標(biāo)

總體目標(biāo)為：整合制度規(guī)范、技術(shù)平臺(tái)、管理流程，實(shí)現(xiàn)集團(tuán)級(jí)企業(yè)多級(jí)管理全范圍安全風(fēng)險(xiǎn)的集中監(jiān)控、安全事件的集中處置、安全策略的合規(guī)檢查、安全態(tài)勢(shì)的統(tǒng)一展示，將信息安全管理和技術(shù)有機(jī)結(jié)合，建立一個(gè)集中管控和安全運(yùn)維的自動(dòng)化支撐平臺(tái)。

具體目標(biāo)為：

（1）實(shí)現(xiàn)對(duì)安全事件的集中監(jiān)控、綜合分析

實(shí)現(xiàn)安全事件集中收集分析和處理能力、集成多種關(guān)聯(lián)分析方法，對(duì)信息安全事件（包括互聯(lián)網(wǎng)應(yīng)用安全事件）進(jìn)行集中審計(jì)、集中監(jiān)控和集中分析，展示安全事件趨勢(shì)，為決策層提供技術(shù)支撐。

（2）實(shí)現(xiàn)對(duì)分散部署安全系統(tǒng)的集中管控

整合分布于各個(gè)信息系統(tǒng)中的多種安全機(jī)制，集成總部、區(qū)域和企業(yè)的各類(lèi)系統(tǒng)和設(shè)備的安全屬性，包括安全日志、安全漏洞、設(shè)備狀態(tài)、安全配置等，將網(wǎng)絡(luò)、終端、安全設(shè)備及應(yīng)用系統(tǒng)納入安全運(yùn)營(yíng)指揮中心集中管控。

（3）實(shí)現(xiàn)對(duì)安全管理工作的自動(dòng)化流程支撐

根據(jù)安全管理工作的現(xiàn)實(shí)需求，規(guī)范和優(yōu)化流程，依托于安全運(yùn)營(yíng)指揮中心，實(shí)現(xiàn)信息安全管理日常工作的常態(tài)化開(kāi)展和事務(wù)處理，實(shí)現(xiàn)信息安全要求的合規(guī)檢查、信息安全管理工作成效的定期核查及整改監(jiān)督等。

（4）實(shí)現(xiàn)與IT運(yùn)維平臺(tái)對(duì)接開(kāi)展安全運(yùn)維

在對(duì)安全事件進(jìn)行集中審計(jì)、集中監(jiān)控和集中分析的基礎(chǔ)上，實(shí)現(xiàn)自動(dòng)化的安全作業(yè)計(jì)劃、安全事件處置、安全風(fēng)險(xiǎn)處置等工單的生成，對(duì)接IT運(yùn)維平臺(tái)，順利實(shí)現(xiàn)安全運(yùn)維工單的派發(fā)、跟蹤和管理，提升安全運(yùn)維工作的效率。

3.2 基于安全運(yùn)營(yíng)2.0的系統(tǒng)功能設(shè)計(jì)邏輯

提升資產(chǎn)事件為中心的安全運(yùn)營(yíng)功能，打造以安全業(yè)務(wù)為核心的新的一體化安全運(yùn)營(yíng)指揮系統(tǒng)，通過(guò)梳理業(yè)務(wù)藍(lán)圖，確定足以支撐業(yè)務(wù)發(fā)展的功能架構(gòu)、技術(shù)架構(gòu)和部署架構(gòu)，通過(guò)業(yè)務(wù)視圖設(shè)計(jì)，實(shí)現(xiàn)不同業(yè)務(wù)場(chǎng)景下，系統(tǒng)的一鍵式、全要素和全流程的管理服務(wù)。

（1）業(yè)務(wù)藍(lán)圖?；凇靶畔踩芾砉ぷ鞯某休d平臺(tái)和管控中心”的安全運(yùn)營(yíng)定位，首先需要站在管理角度，從業(yè)務(wù)安全層面，審視信息安全管理工作的整體內(nèi)容，進(jìn)而結(jié)合企業(yè)工作特點(diǎn)，給出信息安全管理工作的全景即業(yè)務(wù)藍(lán)圖。

（2）功能架構(gòu)。解決安全運(yùn)營(yíng)指揮系統(tǒng)為了支撐信息安全管理工作，應(yīng)該提供哪些業(yè)務(wù)功能，這些功能需要哪些關(guān)鍵信息和數(shù)據(jù)。功能架構(gòu)的工作主要依賴于業(yè)務(wù)藍(lán)圖的梳理，當(dāng)業(yè)務(wù)藍(lán)圖明確后，功能架構(gòu)就能夠明確說(shuō)明支撐這些業(yè)務(wù)的具體功能模塊和相關(guān)流程。

（3）技術(shù)架構(gòu)。解決系統(tǒng)采用什么樣的架構(gòu)體系和技術(shù)支撐框架來(lái)實(shí)現(xiàn)功能架構(gòu)的具體功能、滿足業(yè)務(wù)需要。該過(guò)程主要包含系統(tǒng)體系架構(gòu)設(shè)計(jì)，該過(guò)程還需遵循兩個(gè)原則，基礎(chǔ)架構(gòu)原則和系統(tǒng)演進(jìn)原則，也就是首先完成基礎(chǔ)架構(gòu)的設(shè)計(jì)，通過(guò)系統(tǒng)的演進(jìn)過(guò)程，逐步進(jìn)行完善，形成實(shí)現(xiàn)功能和滿足業(yè)務(wù)的技術(shù)體系架構(gòu)；繼而就可以進(jìn)行開(kāi)發(fā)設(shè)計(jì)和具體的代碼編制過(guò)程，最終經(jīng)過(guò)測(cè)試形成生產(chǎn)系統(tǒng)。

（4）部署架構(gòu)。解決采用什么方式進(jìn)行實(shí)施和落地，包括：開(kāi)發(fā)設(shè)計(jì)、代碼開(kāi)發(fā)、測(cè)試等等內(nèi)容。該過(guò)程需要遵循如下幾個(gè)原則：組織與管控原則、推廣原則、技術(shù)選擇原則，系統(tǒng)的實(shí)施過(guò)程，需要進(jìn)行完善的項(xiàng)目管理，建立管理組織、設(shè)計(jì)用戶組織，系統(tǒng)具備上線實(shí)施時(shí)，采用先試點(diǎn)后推廣的原則，逐步試點(diǎn)——完善——試點(diǎn)的過(guò)程，完成項(xiàng)目建設(shè)，在這些過(guò)程中，可以對(duì)實(shí)現(xiàn)相同目的的技術(shù)方式中進(jìn)行選擇，選擇最優(yōu)的技術(shù)實(shí)現(xiàn)方式。

3.3 安全運(yùn)營(yíng)指揮系統(tǒng)總體框架

安全運(yùn)營(yíng)指揮系統(tǒng)的PMT框架（見(jiàn)圖1），即從人員（People），管理（Management），技術(shù)（Technology）組合實(shí)現(xiàn)安全業(yè)務(wù)目標(biāo)，保障安全保護(hù)對(duì)象。

（1）用戶（人員），即安全運(yùn)營(yíng)指揮系統(tǒng)組織機(jī)構(gòu)

安全運(yùn)營(yíng)指揮系統(tǒng)組織機(jī)構(gòu)充分考慮企業(yè)現(xiàn)有的信息安全管理團(tuán)隊(duì)，結(jié)合企業(yè)信息安全管理工作的具體內(nèi)容進(jìn)行規(guī)劃設(shè)計(jì)；

（2）管理，即制度與流程，標(biāo)準(zhǔn)與規(guī)范

根據(jù)安全運(yùn)營(yíng)指揮系統(tǒng)的定位，安全運(yùn)營(yíng)指揮系統(tǒng)不僅是技術(shù)平臺(tái)，更是融合人員、技術(shù)工作和運(yùn)行管理的系統(tǒng)、平臺(tái)和體系，本身就需要大量管理的支撐，安全運(yùn)營(yíng)指揮系統(tǒng)管理部分的設(shè)計(jì)就是為保障安全運(yùn)營(yíng)指揮系統(tǒng)正常運(yùn)行，實(shí)現(xiàn)信息安全管理工作的安全運(yùn)營(yíng)指揮系統(tǒng)內(nèi)部運(yùn)行管理機(jī)制。

（3）技術(shù)，即安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)支撐平臺(tái)

安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)支撐平臺(tái)是本次規(guī)劃設(shè)計(jì)的重點(diǎn)，是實(shí)現(xiàn)安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)的技術(shù)支撐。根據(jù)企業(yè)信息安全管理工作，總部集中規(guī)劃和設(shè)計(jì)，企業(yè)執(zhí)行統(tǒng)籌和自主管理相結(jié)合的管理特點(diǎn)，安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)支撐平臺(tái)采用“圍繞總部安全運(yùn)營(yíng)指揮系統(tǒng)中心統(tǒng)籌，分級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)管控，多層采集分析單元的集中與分散相結(jié)合”的設(shè)計(jì)方式。

3.4 安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)藍(lán)圖

安全業(yè)務(wù)是安全工作的核心和目標(biāo)，有固定動(dòng)作也有階段性任務(wù)，因此業(yè)務(wù)藍(lán)圖是在固定框架下規(guī)劃，同時(shí)兼顧開(kāi)放性，按照企業(yè)通用性安全工作，梳理出以下業(yè)務(wù)藍(lán)圖。包括主體業(yè)務(wù)和子系統(tǒng)，主體業(yè)務(wù)16項(xiàng)：“安全策略”、“安全組織與人力資源安全管理”、“制度、流程”、“標(biāo)準(zhǔn)、規(guī)范”、“規(guī)劃與方案”、“評(píng)估與檢查、信息系統(tǒng)安全檢測(cè)”、“合規(guī)管理”、“系統(tǒng)建設(shè)安全管理”、“安全監(jiān)控”、“安全運(yùn)維”、“事故與應(yīng)急處置”、“風(fēng)險(xiǎn)集中管控”、“數(shù)據(jù)安全管理”、“應(yīng)用系統(tǒng)安全管理”、“基礎(chǔ)設(shè)施安全管理”、“物理與環(huán)境安全管理”；子系統(tǒng)3個(gè)：人員安全資信管理子系統(tǒng)，合規(guī)管理子系統(tǒng)，安全檢測(cè)管理子系統(tǒng)。

圖1 安全運(yùn)營(yíng)指揮系統(tǒng)總體框架

圖2 安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)藍(lán)圖

3.5 安全運(yùn)營(yíng)指揮系統(tǒng)功能架構(gòu)

根據(jù)對(duì)企業(yè)信息安全管理工作現(xiàn)狀的分析，安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)框架由如下4個(gè)視圖構(gòu)成（見(jiàn)圖3）：

（1）日常視圖，即安全運(yùn)營(yíng)指揮系統(tǒng)的全工作視圖，包括日常信息安全管理工作、保護(hù)對(duì)象管理、策略落實(shí)、策略措施的效果等等。

（2）應(yīng)用系統(tǒng)安全管理視圖，即以企業(yè)核心、重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)的安全為視角，審視信息安全當(dāng)前現(xiàn)狀，主要包括：應(yīng)用系統(tǒng)從用戶、終端、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等全方位監(jiān)測(cè)信息系統(tǒng)安全。

（3）等級(jí)保護(hù)管理視圖，即以等級(jí)保護(hù)符合性分析為視角，從等級(jí)保護(hù)的技術(shù)和管理兩個(gè)層面10個(gè)控制域分析企業(yè)信息安全建設(shè)的成效。

（4）ISO27000管理視圖，即從兩個(gè)角度開(kāi)展工作，ISO27000符合性和信息安全管理標(biāo)準(zhǔn)工作，既可以滿足未來(lái)開(kāi)展ISO27000認(rèn)證，又可以從國(guó)家標(biāo)準(zhǔn)的層面尋找信息安全管理的差距。

企業(yè)開(kāi)展各類(lèi)信息安全業(yè)務(wù)，需要從各種安全防護(hù)措施中獲取各類(lèi)安全信息并加以分析處理，這需要安全運(yùn)營(yíng)指揮系統(tǒng)具備采集分析的能力，通過(guò)采集分析得來(lái)的安全數(shù)據(jù)，將支撐企業(yè)安全業(yè)務(wù)的開(kāi)展。而各類(lèi)安全業(yè)務(wù)的開(kāi)展情況，將需要安全運(yùn)營(yíng)指揮系統(tǒng)的綜合展示功能得以體現(xiàn)。業(yè)務(wù)展示可以通過(guò)四個(gè)業(yè)務(wù)視圖實(shí)現(xiàn)，即日常管理視圖、應(yīng)用系統(tǒng)安全管理視圖、等級(jí)保護(hù)管理視圖和ISO27000管理視圖，但是由于業(yè)務(wù)應(yīng)用系統(tǒng)安全管理視圖、等級(jí)保護(hù)管理視圖和ISO27000管理視圖，都是從日常管理視圖中抽取數(shù)據(jù)，這3個(gè)視圖的管理項(xiàng)目都可以從日常管理視圖中映射得出。

業(yè)務(wù)視圖也是開(kāi)放性架構(gòu)，當(dāng)管理者需要處理不同業(yè)務(wù)內(nèi)容時(shí)，可以在基礎(chǔ)數(shù)據(jù)之上，通過(guò)開(kāi)放性的視圖設(shè)計(jì)工具，快速制定新的視圖，例如：關(guān)鍵基礎(chǔ)設(shè)施管理視圖、密碼管理視圖、互聯(lián)網(wǎng)應(yīng)用安全治理視圖、實(shí)戰(zhàn)演習(xí)視圖等。

圖3 運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)視圖

3.6 安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)架構(gòu)設(shè)計(jì)

通過(guò)“功能架構(gòu)”的規(guī)劃和設(shè)計(jì)，指出了安全運(yùn)營(yíng)指揮系統(tǒng)必須具備的各項(xiàng)業(yè)務(wù)功能，這些功能需要通過(guò)底層技術(shù)架構(gòu)的全面支持，才能得以實(shí)現(xiàn)。除安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)層和展示層之外，安全運(yùn)營(yíng)指揮系統(tǒng)還必須覆蓋從信息采集獲取到數(shù)據(jù)分析處理兩個(gè)層次，為了有效支持業(yè)務(wù)處理和信息展示，數(shù)據(jù)分析層和數(shù)據(jù)采集層構(gòu)成了安全運(yùn)營(yíng)指揮系統(tǒng)的技術(shù)支撐平臺(tái)。安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)支撐層和安全運(yùn)營(yíng)指揮系統(tǒng)業(yè)務(wù)處理層的依托關(guān)系如圖4所示。

圖4 安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)支撐框架

通過(guò)對(duì)每一個(gè)級(jí)別功能的細(xì)化，安全運(yùn)營(yíng)指揮系統(tǒng)功能框架呈現(xiàn)出一個(gè)多級(jí)結(jié)構(gòu)，其每一級(jí)結(jié)構(gòu)的內(nèi)容如下。

（1）按照從底層往上層的順序，依次是信息采集層、數(shù)據(jù)分析層、安全業(yè)務(wù)層、統(tǒng)一展示層

（2）信息采集層：采集各種安全措施所發(fā)現(xiàn)的風(fēng)險(xiǎn)信息并進(jìn)行基本的處理。采集的風(fēng)險(xiǎn)信息可分為四類(lèi)：日志類(lèi)、漏洞類(lèi)、配置類(lèi)、狀態(tài)類(lèi)。

（3）數(shù)據(jù)分析層：完成風(fēng)險(xiǎn)的分析處理、歸類(lèi)以及綜合評(píng)估。安全運(yùn)營(yíng)指揮系統(tǒng)能夠針對(duì)歷史數(shù)據(jù)做數(shù)據(jù)挖掘分析，對(duì)實(shí)時(shí)數(shù)據(jù)結(jié)合業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)告警分析，對(duì)可能的風(fēng)險(xiǎn)進(jìn)行預(yù)警分析。

（4）安全業(yè)務(wù)層：基于分析評(píng)估的結(jié)果，滿足企業(yè)的業(yè)務(wù)需求，主要包含業(yè)務(wù)流程的設(shè)計(jì)以及安全運(yùn)維的固化等。

（5）統(tǒng)一展示層：安全運(yùn)營(yíng)指揮系統(tǒng)具備統(tǒng)一展示的功能，可以多維度統(tǒng)一展示系統(tǒng)安全風(fēng)險(xiǎn)，尤其是基于業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)展示。除了風(fēng)險(xiǎn)狀況之外，還展示其對(duì)問(wèn)題處理、策略合規(guī)相關(guān)的工作進(jìn)展。

3.7 安全運(yùn)營(yíng)指揮系統(tǒng)的部署架構(gòu)設(shè)計(jì)

安全運(yùn)營(yíng)指揮系統(tǒng)的部署依據(jù)“統(tǒng)一監(jiān)視、分級(jí)管理、統(tǒng)一策略下的分級(jí)處置”的原則，覆蓋企業(yè)總部級(jí)、區(qū)域級(jí)和企業(yè)級(jí)，技術(shù)上采用三級(jí)架構(gòu)部署。

（1）總部級(jí)

總部級(jí)安全運(yùn)營(yíng)指揮中心除監(jiān)控總部所有安全基礎(chǔ)設(shè)施、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用外，它還能夠統(tǒng)一管理各區(qū)域級(jí)安全運(yùn)營(yíng)指揮中心，也就是二級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)；

總部級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)統(tǒng)一監(jiān)視總部、區(qū)域、企業(yè)的風(fēng)險(xiǎn)情況，向區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)發(fā)布通告和相關(guān)任務(wù)。在管理方面，它負(fù)責(zé)總部和區(qū)域的安全管理工作，處理總部和區(qū)域的安全風(fēng)險(xiǎn)。

除此之外，總部級(jí)安全運(yùn)營(yíng)指揮中心也和總部級(jí)的其他管理系統(tǒng)，如IT運(yùn)維系統(tǒng)進(jìn)行交互、共享信息、共同完成信息安全管理工作。

（2）區(qū)域級(jí)

區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)作為本區(qū)域的安全管理系統(tǒng)，主要監(jiān)控區(qū)域級(jí)及下屬企業(yè)的安全基礎(chǔ)設(shè)施、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用等的安全運(yùn)行，并能接受總部安全運(yùn)營(yíng)指揮中心的管控。

總部級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)和區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)通過(guò)約定的通訊協(xié)議進(jìn)行管控指令和各類(lèi)數(shù)據(jù)的交互。區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)需要將本區(qū)域級(jí)的安全情況匯總并上報(bào)到總部級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)，便于總部級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)的統(tǒng)一監(jiān)視。

同時(shí)，區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)負(fù)責(zé)區(qū)域級(jí)的安全管理工作，并給下屬企業(yè)下達(dá)安全任務(wù)和通知。對(duì)于發(fā)現(xiàn)的安全風(fēng)險(xiǎn)，區(qū)域級(jí)處置區(qū)域級(jí)的安全風(fēng)險(xiǎn)，并對(duì)下屬企業(yè)的安全風(fēng)險(xiǎn)處理作出指導(dǎo)。

（3）企業(yè)

企業(yè)可根據(jù)管理需求部署相應(yīng)的數(shù)據(jù)采集、監(jiān)控管理模塊。采集系統(tǒng)、采集器將采集到的風(fēng)險(xiǎn)信息經(jīng)過(guò)基本處理之后，上報(bào)到區(qū)域級(jí)安全運(yùn)營(yíng)指揮系統(tǒng)，便于區(qū)域級(jí)的統(tǒng)一監(jiān)視。下屬企業(yè)的風(fēng)險(xiǎn)處置，由下屬企業(yè)進(jìn)行，也可以委托區(qū)域級(jí)統(tǒng)一處置。

對(duì)于規(guī)模較大的大型企業(yè)，如果不能滿足本企業(yè)業(yè)務(wù)管理需求，也可以考慮部署企業(yè)級(jí)安全運(yùn)營(yíng)指揮中心。

3.8 云計(jì)算和大數(shù)據(jù)技術(shù)在安全運(yùn)營(yíng)指揮系統(tǒng)建設(shè)中的應(yīng)用

安全運(yùn)營(yíng)指揮系統(tǒng)的運(yùn)行過(guò)程處理大量安全信息，在數(shù)據(jù)存儲(chǔ)和計(jì)算上需要具有足夠的支撐和擴(kuò)充能力，在安全運(yùn)營(yíng)指揮系統(tǒng)技術(shù)平臺(tái)的建設(shè)過(guò)程中，可以考慮采用云計(jì)算和大數(shù)據(jù)的機(jī)制實(shí)現(xiàn)安全運(yùn)營(yíng)指揮系統(tǒng)功能，同時(shí)還能提供足夠的擴(kuò)充能力。

（1）采用云計(jì)算作為安全運(yùn)營(yíng)指揮系統(tǒng)計(jì)算平臺(tái)。云計(jì)算是通過(guò)使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中。安全運(yùn)營(yíng)指揮系統(tǒng)運(yùn)行采用云計(jì)算技術(shù)，使得安全運(yùn)營(yíng)指揮系統(tǒng)能夠?qū)①Y源集中使用，有效進(jìn)行計(jì)算能力的切換，必要時(shí)將強(qiáng)大的計(jì)算能力運(yùn)用到需要的應(yīng)用上，并且能夠根據(jù)需求，訪問(wèn)大數(shù)據(jù)系統(tǒng)。

（2）采用大數(shù)據(jù)實(shí)現(xiàn)安全運(yùn)營(yíng)指揮系統(tǒng)海量數(shù)據(jù)的存儲(chǔ)、分析和計(jì)算。安全運(yùn)營(yíng)指揮系統(tǒng)采用大數(shù)據(jù)機(jī)制，就是采用了大數(shù)據(jù)分析的理論核心——數(shù)據(jù)挖掘算法，各種數(shù)據(jù)挖掘的算法基于不同的數(shù)據(jù)類(lèi)型和格式才能更加科學(xué)地呈現(xiàn)出數(shù)據(jù)本身具備的特點(diǎn)，也正是因?yàn)檫@些被全世界統(tǒng)計(jì)學(xué)家所公認(rèn)的各種統(tǒng)計(jì)方法（可以稱之為真理）才能深入數(shù)據(jù)內(nèi)部，挖掘出公認(rèn)的價(jià)值。另外一個(gè)方面也是因?yàn)橛羞@些數(shù)據(jù)挖掘的算法才能更快速處理大數(shù)據(jù)。

云計(jì)算和大數(shù)據(jù)的采用可以使得安全運(yùn)營(yíng)指揮系統(tǒng)體系構(gòu)建在強(qiáng)大數(shù)據(jù)計(jì)算和分析平臺(tái)上，對(duì)于發(fā)揮安全運(yùn)營(yíng)指揮系統(tǒng)的效能提供有力的支撐。

4 安全運(yùn)營(yíng)指揮系統(tǒng)完成后能夠帶來(lái)的信息安全管理效果

安全運(yùn)營(yíng)指揮系統(tǒng)的建設(shè)從信息安全管理工作的根本內(nèi)容開(kāi)始設(shè)計(jì)和開(kāi)發(fā)，能夠?qū)π畔踩芾砉ぷ髌鸬椒e極有效的推動(dòng)作用。

4.1 信息安全管理內(nèi)容方面

安全運(yùn)營(yíng)指揮系統(tǒng)在進(jìn)行業(yè)務(wù)設(shè)計(jì)時(shí)從信息安全管理標(biāo)準(zhǔn)（ISO27000、等級(jí)保護(hù)、信息安全評(píng)估、信息安全風(fēng)險(xiǎn)管理）、企業(yè)信息安全管理工作現(xiàn)狀和未來(lái)發(fā)展、企業(yè)信息安全管理特殊性等層面進(jìn)行分析和設(shè)計(jì)，能夠系統(tǒng)地將信息安全管理工作全面規(guī)劃到安全運(yùn)營(yíng)指揮系統(tǒng)中，并且對(duì)這些管理內(nèi)容進(jìn)行了優(yōu)化和分析，形成了四層業(yè)務(wù)框架，結(jié)合統(tǒng)一展示和知識(shí)庫(kù)，構(gòu)建了完整的信息安全管理框架，在未來(lái)一定時(shí)期內(nèi)會(huì)成為企業(yè)信息安全管理的主要依據(jù)和工作內(nèi)容。

4.2 監(jiān)控管理自動(dòng)化

安全運(yùn)營(yíng)指揮系統(tǒng)應(yīng)挖潛現(xiàn)有信息安全設(shè)備的防護(hù)能力，將安全運(yùn)營(yíng)指揮系統(tǒng)的風(fēng)險(xiǎn)分析和安全機(jī)制管理全面納入安全運(yùn)營(yíng)指揮系統(tǒng)的管理中。應(yīng)從多層面保證信息安全監(jiān)控，低到設(shè)備配置、到日志整合、高到信息安全機(jī)制的梳理，和與配套的層面同層展示的效果。同時(shí)，安全運(yùn)營(yíng)指揮系統(tǒng)對(duì)監(jiān)控采用全面信息收集、分析、處理等多方面工作，另外，還結(jié)合風(fēng)險(xiǎn)分析，形成了安全風(fēng)險(xiǎn)可視化的集成效果。為了提高信息安全設(shè)備的使用和效果提升，安全運(yùn)營(yíng)指揮系統(tǒng)設(shè)計(jì)了配置部署的功能組件，可以將信息安全策略和指令，通過(guò)配置的方式發(fā)送部署到相關(guān)設(shè)備中，形成良好的管控效果，總體來(lái)說(shuō)，安全運(yùn)營(yíng)指揮系統(tǒng)能夠從多角度開(kāi)展對(duì)企業(yè)現(xiàn)有和未來(lái)部署的信息安全管理設(shè)備和機(jī)制進(jìn)行自動(dòng)化的管理和控制。

4.3 多視圖分層管理

安全運(yùn)營(yíng)指揮系統(tǒng)規(guī)劃設(shè)計(jì)了4個(gè)視圖，分別是：日常安全管理、業(yè)務(wù)應(yīng)用系統(tǒng)安全管理、等級(jí)保護(hù)管理和ISO27000管理業(yè)務(wù)視圖，目的是提高信息安全管理工作的管理和決策效果，每個(gè)視圖都關(guān)注了不同的管理訴求：日常安全管理業(yè)務(wù)視圖關(guān)注了信息安全管理工作的開(kāi)展、執(zhí)行和最終效果，業(yè)務(wù)應(yīng)用系統(tǒng)安全管理業(yè)務(wù)視圖主要面向企業(yè)的各類(lèi)重點(diǎn)應(yīng)用的信息安全狀況的動(dòng)態(tài)分析和展示，等級(jí)保護(hù)管理業(yè)務(wù)視圖關(guān)注的是企業(yè)信息安全等級(jí)保護(hù)的實(shí)行效果和動(dòng)態(tài)展示，ISO27000管理業(yè)務(wù)視圖將視角放在了信息安全管理符合性上，為企業(yè)實(shí)現(xiàn)世界一流信息化提供國(guó)際信息安全管理建設(shè)的管理支持。

4.4 集中風(fēng)險(xiǎn)管理、集中安全管控

企業(yè)信息安全管理的最終目標(biāo)是實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)的管理，將信息安全風(fēng)險(xiǎn)降到最低，安全運(yùn)營(yíng)指揮系統(tǒng)包括整體安全評(píng)價(jià)模塊、風(fēng)險(xiǎn)狀況模塊、安全報(bào)表模塊、安全公告模塊、安全趨勢(shì)等模塊對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行分析和管控，并將風(fēng)險(xiǎn)管理分離出；安全報(bào)表，提供全面安全指標(biāo)分析；安全公告，提供面向全體安全管理人員當(dāng)前信息安全出現(xiàn)的各類(lèi)事項(xiàng)；風(fēng)險(xiǎn)狀況，梳理企業(yè)當(dāng)前的信息安全風(fēng)險(xiǎn)級(jí)別，處置情況等；安全趨勢(shì)；提供未來(lái)和將來(lái)信息安全風(fēng)險(xiǎn)的發(fā)展趨勢(shì)，提供決策數(shù)據(jù)；整體安全評(píng)價(jià)將給出企業(yè)當(dāng)前信息安全的全貌和評(píng)價(jià)指標(biāo)值?？傮w來(lái)說(shuō)，安全運(yùn)營(yíng)指揮系統(tǒng)能夠?qū)ζ髽I(yè)信息安全風(fēng)險(xiǎn)通過(guò)各類(lèi)信息和數(shù)據(jù)的分析和加工提供集中的風(fēng)險(xiǎn)管理和安全管控。

4.5 多業(yè)務(wù)系統(tǒng)協(xié)同完成深度信息安全管理

信息安全不是一個(gè)部門(mén)的工作，是整個(gè)企業(yè)和全體員工的共同努力，所以安全運(yùn)營(yíng)指揮系統(tǒng)建設(shè)中將安全運(yùn)營(yíng)指揮系統(tǒng)的信息安全管理工作進(jìn)行了合理的分解和分類(lèi)，將部分信息安全管理內(nèi)容分解到不同的信息系統(tǒng)中同步完成，尤其是人員安全、項(xiàng)目管理等內(nèi)容，這樣可以將企業(yè)的信息安全力量全部調(diào)動(dòng)，為信息安全管理目標(biāo)共同工作。

5 結(jié)束語(yǔ)

在“體系化、常態(tài)化和實(shí)戰(zhàn)化”新的網(wǎng)絡(luò)安全防護(hù)目標(biāo)指引下，能源化工企業(yè)網(wǎng)絡(luò)安全工作必須在持續(xù)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)縱深、動(dòng)態(tài)彌補(bǔ)安全短板的基礎(chǔ)上，加大安全運(yùn)營(yíng)體系的建設(shè)力度，提升運(yùn)營(yíng)能力，將網(wǎng)絡(luò)安全工作從項(xiàng)目建設(shè)為主逐步過(guò)渡到常態(tài)化運(yùn)營(yíng)為主，這就需要強(qiáng)有力的平臺(tái)支撐、攻守兼?zhèn)涞倪\(yùn)營(yíng)團(tuán)隊(duì)，目標(biāo)清晰的服務(wù)標(biāo)準(zhǔn)，最重要的是符合企業(yè)管理架構(gòu)的安全業(yè)務(wù)目錄、業(yè)務(wù)邊界、業(yè)務(wù)指標(biāo)和業(yè)務(wù)流程，針對(duì)安全工作制衡性的特點(diǎn)，越來(lái)越多的企業(yè)希望將網(wǎng)絡(luò)安全與數(shù)字化生產(chǎn)無(wú)感融合，希望安全的強(qiáng)制性和服務(wù)性協(xié)同發(fā)展，因此，安全流程優(yōu)化、安全業(yè)務(wù)標(biāo)準(zhǔn)、安全操作自動(dòng)化、安全分析智能化、安全運(yùn)營(yíng)實(shí)戰(zhàn)化將是安全運(yùn)營(yíng)指揮系統(tǒng)實(shí)用化發(fā)展的重要設(shè)計(jì)因素，隨著運(yùn)營(yíng)數(shù)據(jù)的大量積累，進(jìn)一步通過(guò)大數(shù)據(jù)分析挖掘，機(jī)器學(xué)習(xí)、人工智能技術(shù)在安全分析及處置過(guò)程中的成熟應(yīng)用，安全運(yùn)營(yíng)指揮中心的安全大腦功能將不斷得到加強(qiáng)，在安全對(duì)抗中的指揮作用更加突出。

[1]劉遠(yuǎn).石油化工行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的探索與思考[J].中國(guó)信息安全，2019（08）.

[2]崔傳楨.助力“互聯(lián)網(wǎng)＋”行動(dòng)：解讀華為的網(wǎng)絡(luò)安全——基于“互聯(lián)網(wǎng)＋”[J].信息安全研究，2016（06）.

[3]牛曉麗，王榮.網(wǎng)絡(luò)安全管理平臺(tái)專利技術(shù)現(xiàn)狀與發(fā)展簡(jiǎn)析[J].計(jì)算機(jī)安全，2011（07）.

[4]臧鑫.鐵路信息安全管理研究[J].鐵道經(jīng)濟(jì)研究，2014（05）.

[5]王偉，覃曉寧.新一代安全運(yùn)營(yíng)中心（SOC）平臺(tái)[J].計(jì)算機(jī)工程應(yīng)用技術(shù)，2017（03）.

[6]盧光明.企業(yè)安全運(yùn)營(yíng)中心將是支撐未來(lái)企業(yè)的核心[J].網(wǎng)絡(luò)空間安全，2018（11）.

[7]金華敏，王帥.SOC發(fā)展之道——關(guān)于網(wǎng)絡(luò)安全運(yùn)營(yíng)中心（SOC）建設(shè)若干問(wèn)題的探討[J].廣東通信技術(shù)，2017（9）.

[8]董祎鋮. 基于安全運(yùn)營(yíng)建設(shè)，促進(jìn)安全治理工作[J].中國(guó)信息安全，2019（08）.